В обнаружении злоумышленников с помощью СЗИ может быть две крайности. Программные продукты могут либо определять известные угрозы, но пропускать новые, либо выявлять подозрительное ПО вперемешку с легитимным. Производители стремятся сохранить баланс, при котором и пропусков, и ложных срабатываний будет относительно немного. Достичь этого позволяет только обратная связь от пользователей.
Источник: SecurityLab